CVE-2026-44403 Wing FTP Server远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-44403

漏洞类型

远程代码执行

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Wing FTP Server

漏洞概述

Wing FTP Server 8.1.2版本中的会话序列化机制存在认证远程代码执行漏洞。经过身份验证的管理员可以通过域管理员的“mydirectory”字段注入任意Lua代码。由于系统将会话值不安全地序列化为Lua源代码，且未正确转义闭合定界符，导致当受污染的会话通过loadfile()加载时，注入的代码将被执行，从而允许攻击者在服务器上远程执行任意命令。

技术细节

该漏洞的核心在于Wing FTP Server处理会话数据时的不安全序列化机制。服务器将用户配置（特别是域管理员的'mydirectory'字段）直接序列化为Lua源代码文件。在序列化过程中，系统未对用户输入的特殊字符进行有效的转义处理。攻击者利用管理员权限，构造包含恶意Lua代码的payload（如闭合字符串并调用系统函数）填入该字段。当服务器后续通过loadfile()函数重新加载该会话文件时，恶意代码被解析并执行，从而实现远程代码执行。

攻击链分析

STEP 1

1. 获取凭证

攻击者获取Wing FTP Server管理员账户的用户名和密码。

STEP 2

2. 构造Payload

攻击者构造用于Lua代码注入的恶意Payload，例如："]) os.execute('calc.exe') --"。

STEP 3

3. 注入漏洞

攻击者登录管理后台，在域管理员的“mydirectory”字段中填入恶意Payload并保存。

STEP 4

4. 触发执行

服务器将包含恶意代码的数据序列化到会话文件中，当系统通过loadfile()加载该会话时，恶意Lua代码被执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

-- Exploit Title: Wing FTP Server 8.1.2 Authenticated RCE
-- Vulnerable Field: 'mydirectory' in Domain Admin settings
-- Payload concept: Break out of the string literal and execute system command.

-- Example Payload to inject:
-- "]) os.execute('whoami') --"

-- Explanation:
-- The serialized session file likely contains a line like:
-- mydirectory = "user_input"
-- Injecting the payload transforms it into:
-- mydirectory = ""]) os.execute('whoami') --""
-- This closes the string, closes the table/array, executes the command, and comments out the rest.

影响范围

Wing FTP Server 8.1.2

防御指南

临时缓解措施

建议立即将Wing FTP Server升级至官方发布的最新版本以修复此漏洞。如果暂时无法升级，请严格限制管理员账户的访问，并定期审查系统日志，检查是否存在异常的Lua文件生成或执行行为。